Seite 2: Staubsauger hört mit

Inhaltsverzeichnis

Mit dieser Technik gelang Sriram Sami von der University of Singapore mit seinen Kollegen im Jahr 2021 der bereits erwähnte besonders spektakuläre Hack: Sie kaperten einen Xiaomi-Staubsauger und zapften die Daten des Lidar-Sensors an, um Nutzer abzuhören.

Es klingt wie bei James Bond: Lidar-Sensoren senden einen Infrarot-Laserstrahl aus und messen, wie lange es dauert, bis der reflektierte Strahl zurückkommt. Das Ergebnis ist eine dreidimensionale "Punktwolke" der Umgebung. Daraus – und manchmal auch aus Kamerabildern oder anderen Sensordaten – erstellt der Roboter normalerweise eine Karte der Umgebung. Schwingt ein Objekt, zum Beispiel eine Fensterscheibe, weil Schallwellen darauf treffen, lassen sich diese Schallwellen theoretisch aus den Lidar-Daten wieder rekonstruieren.

In der Praxis war die Attacke allerdings nicht ganz so beeindruckend: Sami und seine Kollegen mussten den normalerweise rotierenden Infrarot-Laserstrahl stoppen, um überhaupt Audiosignale zu erhalten. Doch selbst dann reichte die Qualität nicht aus, um Personen abzuhören. Deshalb ließen die Sicherheitsspezialisten ein tiefes neuronales Netz nach Mustern in den Daten suchen. So konnten sie mit einer Genauigkeit von 70 Prozent gesprochene Zahlen (zum Beispiel Pins), Musik aus Trailern bestimmter Fernsehsendungen oder das Geschlecht der sprechenden Person erkennen.

Haben die Hersteller etwas gelernt?

Seither sind keine weiteren Artikel erschienen, die über ähnlich spektakuläre Hacks berichten. Haben die Hersteller daraus gelernt? Ja und nein, sagt Prof. Ahmad-Reza Sadeghi, Leiter des System Security Lab an der TU Darmstadt, der mit seinem Team seit vielen Jahren zur Sicherheit im Internet der Dinge (IoT) forscht. Im Jahr 2019 hatte ein Doktorand von Sadeghi selbst über den erfolgreichen Hack eines damals populären Staubsaugerroboters berichtet. Die Sicherheitsspezialisten konnten die Roboter über das Internet aktivieren und Wohnungsgrundrisse herunterladen.

Wozu brauchen Staubsauger eine Karte der Wohnung?

Der Urvater der autonomen Staubsaugerroboter von iRobot, der Roomba, fuhr einfach zufällig durch die Räume.. So lange, bis seine Sensoren meldeten, dass der Boden sauber genug war. Die minimalistische Steuerung war Absicht: Der Robotikforscher Rodney Brooks, Mitbegründer von iRobot, war der festen Überzeugung, dass autonome Roboter nur gerade so viel Intelligenz brauchen, wie nötig ist, um ihre Aufgaben zu erfüllen. Alles andere sei überflüssig. Tatsächlich war der Trilobite von Electrolux, der bereits damals Karten der Räume erstellte und nach Plan reinigte, weder wesentlich schneller noch gründlicher – aber deutlich teurer.

In der Praxis hatte das minimalistische Prinzip allerdings auch Nachteile. Die Roombas konnten maximal drei Räume bedienen, fanden nach einer Unterbrechung ihrer Routine den Startpunkt nicht wieder, schleppten gelegentlich Schmutz mit sich herum – und brauchten relativ lange. Nach und nach setzten sich Roboter durch, die per Sensor einen Plan der zu reinigenden Wohnung erstellten und diesen dann nach einer optimalen Strategie abarbeiteten. Auch iRobot hat 2017 auf dieses Prinzip umgestellt. Bei einigen Modellen kommen mittlerweile Kameras dazu, die beispielsweise Haustiere oder spielende Kleinkinder erkennen sollen.

"Natürlich haben wir daraufhin den Hersteller kontaktiert", sagt er. "Aber die haben zunächst nur geschrieben, das würde sie nicht interessieren. Erst als sich die Geschichte in den sozialen Medien verbreitete und es erste negative Reaktionen von chinesischen Kunden gab, haben sie etwas geändert." Generell habe sich das Sicherheitsniveau der Geräte verbessert, aber es gebe noch viel zu tun. "Viele Lücken werden geschlossen, ohne dass die Öffentlichkeit davon etwas mitbekommt."

"Es sind eher die kleinen Firmen mit besonders innovativen Produkten, die Sicherheit manchmal vernachlässigen", sagt Sadeghi. Insgesamt gäbe es aber mehr Material und viel mehr Erfahrung in Sicherheitsfragen. Generell würden die großen Anbieter immer besser darin. Doch genau diese Entwicklung sei auch zweischneidig: "Die großen Firmen bekommen immer mehr Datenmacht. Und wir haben ja gesehen, was passieren kann, wenn ein Konzern wie Facebook alle unsere Daten kontrolliert."